Investigadores de Palo Alto Networks, han comentado que los desarrolladores de TrickBot han actualizado sus bases para que el malware se ejecute desde la memoria del dispositivo infectado; con esto ayudan a evitar su detección.
Como ya hemos informado en boletines anteriores, desde el comienzo de la pandemia, TrickBot se ha mantenido muy activo, especialmente a través de correos electrónicos de phishing, atrayendo a las víctimas a hacer clic en archivos adjuntos maliciosos.
TrickBot Malware
Cuando los investigadores detectaron por primera vez TrickBot en 2016, el malware funcionaba como un troyano bancario. Pero desde entonces se ha transformado en un ladrón de información y una puerta trasera. Desde entonces, hemos visto diversas evoluciones del malware, conviertiéndolo en una seria amenaza.
Gracias a su arquitectura modular, los desarrolladores maliciosos lo han equipado constantemente con capacidades adicionales, incluida la deshabilitación del antivirus incorporado de Microsoft Windows Defender, como también módulos para la recopilación información del sistema y de la cuenta de usuario. Además, TrickBot está vinculado a todo un paquete de distribución de malware como Emotet y el ransomware Ryuk.
Nuevo módulo "nworm".
Los investigadores de Palo Alto descubrieron que la última actualización de TrickBot cambia uno de los módulos que utiliza el malware para propagarse desde un dispositivo infectado de Microsoft Windows a un controlador de dominio. El módulo anterior, llamado "mworm", ha sido reemplazado por uno nuevo denominado "nworm". Este nuevo módulo se ejecuta en la memoria del controlador de dominio en lugar del disco duro y permite que el malware TrickBot desaparezca cuando se reinicia o apaga el dispositivo infectado, sin dejar rastro del código malicioso en el controlador de dominio de destino. Esto hace que sea más difícil para las herramientas de seguridad detectar y analizar.
¿Cómo funciona?
En una infección típica de TrickBot, el malware escaneará un dispositivo y luego descargará los módulos necesarios para mantener la persistencia dentro de la red y realizar actividades maliciosas. Al encontrar un dispositivo con Windows Active Directory, descarga el módulo mworm para infectar el controlador de dominio. Dado que hoy en día las herramientas de seguridad pueden detectar estos tipos más antiguos de infecciones del controlador de dominio. Los desarrolladores de TrickBot con la adición del nuevo módulo nworm, ahora lanzan la infección del controlador de dominio desde la memoria, lo que hace que sea más difícil de detectar. También proporciona una capa de cifrado para ayudar a proteger el malware de las herramientas de seguridad, señalan los investigadores.
Las infecciones causadas por el nuevo módulo nworm de TrickBot no parecen sobrevivir a un reinicio o apagado, pero eso hace que sea más difícil de detectar porque no quedan pistas para analizar.
Microsoft Security Intelligence
Microsoft advierte hasta ahora, las campañas de TrickBot difundidas a través de correos con archivos de ofimática adjuntos con macros habilitadas, tienen un retraso de aproximadamente 20 segundos antes de entregar la carga útil final, esto podría permitir que el malware evada la emulación o el análisis de algunas sandbox.
Panorama
Este nuevo método de persistencia y evasión demuestra las capacidades y destrezas de quienes están detrás de las campañas maliciosas de TrickBot. Con ésto, han delimitado bien sus objetivos, dirigidos principalmente hacia dispositivos que no se reinician con frecuencia, como los servidores. Es probable que el equilibrio entre sigilo y persistencia funcione a favor de los atacantes, ya que los servidores rara vez se apagan o reinician.
TrickBot, por sí solo, es definitivamente una mala noticia para las empresas. No obstante, estimamos que las infecciones de este malware son solo una pequeña parte de un ataque mayor, que según la experiencia terminará con el despliegue de ransomware en las organizaciones víctimas.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Producto | Versión |
---|---|
Microsoft Windows |
8 8.1 10 |
Microsoft Windows Server |
2012 2012 R2 2016 2019 |